F5-ASM-AdvWAF-学习模式的一些分享(七)

最新推荐文章于 2025-05-13 11:23:16 发布
原创 最新推荐文章于 2025-05-13 11:23:16 发布 · 1.3k 阅读 · 2
标签
#F5 #asm #waf
本文分享了F5 ASM Advanced WAF的学习模式设置和管理,包括手动模式的选择理由,学习时间的设定,wildcard(*号)的处理策略,stag使用建议,以及negitive和positive的应对策略。在手动模式下,确保正确识别正常请求以避免误判攻击。学习时间独立于策略建立时间。wildcard的管理关乎安全性与灵活性的平衡。 stag用于策略确认,而negitive和positive则涉及白名单和规则限制的设定。

(一)、学习模式选择

1,学习模式建议使用手动,总的来说就是机器是死的,他只能根据既定的规则运行。只有人才知道什么是正常请求,什么不是。

举个很简单例子,假如在开启学习模式时候,有黑客攻击,F5可能会把他认为是正常请求。

 

(二)、学习时间

1,截图

这个时间不是策略建立时间开始算的,是单个策略的时间,每个策略的时间都是单独计算的。

当天的晚上的23:59:59-到七天后的23:59:59

 

(三)、wildcard 也就是entity里面的*号

根据官方建议,当把ASM Policy建设完成后,需要删除Wildcard。

删除*号

这里的意思是只允许php这类型的通过,而且php要符合那四个长度限制。

同时不学习新的类型,假如应用变更了,新增了jpg的 file type,那么就会阻断,这时候要把*号重新挂上去,再学习一次。

不删除*号

不删除星号,那么会一直学习,

针对于php的要符合限制才允许通过,

其他类型的默认通过,wildcard有四个默认参数,主要是用来防止buff flow的,当触发buff flow的情况也会block

个人建议:

核心业务,删除*号,要求业务部

最低0.47元/天 解锁文章
F5 ASM应用安全管理测试方案.docx
10-12
F5 ASM应用安全管理测试方案.docx
F5-ASM-AdvWAF-Brute Force Attcks(十四)
ITdoggg的博客
08-22 438
1,做Brute Force防护简单来说就是要识别人和机器的差别,F5根据source IP、username、Device ID判断, Device ID就是F5根据一些客户端特性,将每个客户端定义成唯一,然后做判断,因为经过nat、代理源地址可能是一个,所以不能单纯根据IP做判断。当F5判断客户端有问题时候,会发一个JavaScript脚本给客户端,也会发CSPTCHA给客户端,做CSID时...
【F5授权服务中心售后一点通】AWAF之Uri防护(十三)
Nginx_F5的博客
02-24 342
【F5授权服务中心售后一点通】AWAF之Uri防护(十三) 基础安全模式下启用主动防御模型 ( allow http uri, file type, parameter, 用户会话追踪,CSRF ) 前提条件:需要客户端能够执行JS,允许携带cookie信息 部分功能需要开启...
F5-ASM-AdvWAF-manual learn mode-negative(五)
ITdoggg的博客
08-17 721
一,学习模式asm日常运维的核心, 简单来说就是上ASM策略后,看学习建议(violation),判断是不是误报(false positives),下决定,直到达到我们预期 二,通过demo说明 violation:请求到达F5时,F5根据配置的策略检查该请求,如果该请求不符合F5配置的策略,那么就认为该请求是不合法的,叫violation,在学习页面查看 1,使用前面建立的RDP(...
网络安全之WAF
一个老Java开发的自白
11-28 2982
Web应用防火墙(WAF)是现代网络安全的重要组成部分,它不仅能够有效地保护web应用程序免受各种攻击,而且通过不断的技术创新和发展,正变得越来越强大和智能。对于任何希望保护其数字资产的企业来说,理解和正确使用WAF都是至关重要的。随着威胁环境的不断演变,选择合适的WAF解决方案,并持续优化其配置,将成为企业维护网络安全的关键因素之一。
F5-ASM-AdvWAF-业务访问顺序的flow control(十三)
ITdoggg的博客
08-21 328
1,做业务登陆的强制访问顺序,就是要想访问xxx.com/b,必须先访问xxx.com/a 。 2,上demo,先要登陆到user_login.php,然后再登陆sell.php 先定义login url: 找到认证方式 找到登陆成功的response code 配置login enforcement,定义拿个页面必须要经过login页面才能访问 定义logo...
F5-ASM-AdvWAF-静态parameters的防护(十)
ITdoggg的博客
08-20 362
1,静态parameters: parameters格式是“nam=value”,静态的paramerers就是一个value,后面几个固定选项,比如购物时候选择付款方式,有微信,支付宝,银行卡等信息, 看hit-it-yourself的例子 这其实也是一个静态parameter 假如你有确定的parameter,可以在parameter那里直接添加白名单, so,还是用学习...
F5-ASM-AdvWAF-data guard (四)
cengshi2474的博客
08-14 292
1,data guard干啥的这玩意儿就是在http response时候,假如含有信用卡、us社保卡、信息之类的,asm会做相应保护;假如是block模式,那么response会直接block假如是transparent模式,那么F5会用星号覆盖那串号码 2,直接上demo正常请求F5配置重复登陆操作,直接block看日志 3,将asm策略改成transparent发现信用卡那一栏变成星号了 坑...
F5-ASM-AdvWAF-manual learn mode-positive(六)
ITdoggg的博客
08-19 506
下面我们来看positive的情况(开始前清除日志),以file type为例 开启positive,需要开启学习 概念说明: entity:简单来说就是配置对象,给配置的对象整个名字,看下截图的就知道了。 file type,urls,parameters这几个entity的Alarm、Learn、Block勾上 浏览器输入这个uri:http://auction.f5de...
F5 API加固解决方案有了解的吗?
hanniuniu13的博客
11-21 439
关于F5 API加固解决方案,主要涉及:AFM高级防火墙模块、LTM负载均衡模块、SSLO 加解密流量编排模块、AWAF 高级应用层防护模块、APM 认证授权策略管理模块、HSL高速日志引擎。本文会谈及AWAF应用层防护相关的内容: 针对API的防护,首先需要了解数据和API应用的结构,F5 AWAF 支持将OpenAPI及Swagger配置文件导入,根据配置文件自动生成路径策略,并按不同的API路径提供不同深度的保护。通过向导式配置方法,极大提高了防护部署的便捷性。    协议内容检查:通过对XML,J
F5-ASM-AdvWAF-动态parameter的防护(十一)
ITdoggg的博客
08-20 410
1,了解动态parameter的概念 动态paramaters还是name/value成双成对,但是value是跟随不同用户不同的值,比如用户名/银行卡号。 F5通过一个叫“extraction”动作去定义和发现服务器response内url或file type中的动态parameter,一旦发现动态parameter,F5会插入asm的专有cookie(frame cookie,具体啥意思a...
F5_ASM_Policy配置指南
09-02
F5 asm配置指南,F5内部文档。ASM应用防火墙,负载均衡。application 防护
F5-ASM-AdvWAF实验-一些基础知识(二)
cengshi2474的博客
08-14 702
1,F5-ASM http业务流说明图 2,假如F5关联了基于host做分发的irule,那么要启用LTP(Local Traffic Policy)注意:LTP配置策略的时候host、url是平级的,就是不能先做host,然后再根据uri做精细化的分发(当然asm策略根据host就好了) 3,http 协议说明,推荐教程《tcp/ip详解1、2、3》get和post差别 4,常见http met...
F5服务器负载均衡基础配置指南
最新发布
weixin_35636570的博客
05-13 2437
负载均衡是一种技术解决方案,用于合理分配工作负载到多个计算资源,如服务器、服务或网络节点。其核心目的是提高应用性能、保障服务可用性和扩展系统的整体处理能力。F5 BIG-IP 是一款集成了多种网络功能的硬件平台,它针对企业数据中心和云环境中的应用交付进行了优化。该平台硬件基于高性能的多核处理器,并配合高速的网络接口和充足的内存资源,旨在提供高吞吐量和低延迟的数据处理能力。BIG-IP提供多种型号以满足不同规模的需求,从小型的独立设备到大型的集群系统,均可以高效地处理数据流量。
F5全面应对DDOS 攻击
iteye_5347的博客
04-20 2429
 modeilq [角落] [飞语] 发表于:15-03-20 19:22 [只看该作者]   DDOS攻击俗称洪水攻击,是由很多DDOS攻击源一起攻击某台服务器的组成,DDOS 最早可追溯到1996年,在中国2002年开始频繁出现,到了2003年已经小有规模。是破坏力最强的攻击方式,据美国最新的安全损失调查报告,DDOS攻击所造成的经济损失已经跃居第一。DDOS攻击可破坏是...
F5 BIG-IP ASM解决方案
weixin_33896069的博客
12-09 365
转载于:https://blog.51cto.com/f5555/1338534
防火墙是什么?F5保护Web应用的思路解读
hanniuniu13的博客
10-08 2855
为此,F5推出了Advanced WAF(API 安全— 新一代WAF ),即高级Web应用防火墙(Advanced Web Application Firewall),旨在通过领先的应用安全实力, 针对日趋复杂的应用威胁,为用户打造一体化的解决方案。F5WAF的优势性是行业内有目共睹的。:Web应用防火墙报告中,Forrester Research选出了12家最出色的Web应用防火墙 (WAF) 提供商,然后对它们进行研究、分析和评分,以评比它们相较于彼此的表现水平,其中F5WAF被赞誉表现强劲。
F5新型数据中心防火墙解决方案——一键解决企业网络安全问题
hanniuniu13的博客
12-21 1525
现如今传统防火墙已无法满足企业安全需求,网络攻击大多发生在应用层和网络层故障,且呈上升趋势,传统的防火墙存在着很大的不足之处,包括无法检测加密的Web流量;普通应用程序加密后,也能轻易躲过防火墙的检测;对于Web应用程序防范能力不足;应用防护特性只适用于简单情况;无法扩展深度检测功能, 仅部署传统的防火墙服务已经无法有效地检测攻击并防止业务中断,可见防火墙故障更加令人担忧,想要确保网络环境安全,就需要针对防火墙进行根本性的变革。 F5新型数据中心防火墙解决方案: 针对目前数据中心的安全需求,确保数据中心网络
F5 零基础教程
洪晓鸿
04-28 3245
F5 是一个知名的应用交付和安全解决方案提供商。F5 旗下的 BIG-IP 系列产品可以帮助企业优化、保护和管理他们的应用程序,提高应用程序的性能和可用性。简而言之,F5就像是一位勤奋的邮差,确保您的应用程序信件能够及时、安全地送达目的地。F5 BIG-IP 使用全代理架构,也就是说它在客户端和服务器之间扮演一个“中间人”的角色。通过对请求和响应进行深度检查,F5能够为您的应用程序提供负载均衡、安全保护、性能优化等多种功能。全代理架构。
网络安全 | F5 WAF 黑白名单配置实践指南
Andya_net的博客
04-24 1762
F5 WAF 的黑白名单功能允许管理员根据 IP 地址、URL 或其他条件对流量进行分类和控制。通过将特定的 IP 地址或子网添加到白名单中,可以确保这些流量不会被误拦截;而将已知的恶意 IP 地址添加到黑名单中,则可以有效阻止这些流量。通过结合 Data Group 和 iRules,F5 WAF 的黑白名单功能可以实现更灵活、更高效的流量控制策略。合理使用这些工具,不仅可以提高系统的安全性,还可以优化性能,确保业务的平稳运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值